*Cisco IOS軟件層疊SNMP 共享社區(qū)字串漏洞Cisco 配置文件中，意外創(chuàng)建和暴露SNMP 共享字符串，可以允許未授權地查閱或者修改感染的設備。這種漏洞是調用SNMP 函數中的缺陷引起的。S

*Cisco IOS軟件層疊SNMP 共享社區(qū)字串漏洞

Cisco 配置文件中，意外創(chuàng)建和暴露SNMP 共享字符串，可以允許未授權地查閱或者修改感染的設備。這種漏洞是調用SNMP 函數中的缺陷引起的。SNMP 利用“community”的標記來劃分“object”組, 可以在設備上查看或者修改它們。在組中的數據組織MIB 。單個設備可以有幾個MIBs ，連接在一起形成一個大的結構，不同的社團字符串可以提供只讀或者讀寫訪問不同的，可能重疊的大型數據結構的一部分。

啟用SNMP ，鍵入“snmp-server”命令時，如果社區(qū)在設備上不是以有效的社區(qū)字串存在，就會不可預料地添加一個只讀社區(qū)字串。如果刪除它，這個社區(qū)字串將會在重載設備時重新出現。

缺陷源于SNMPv2的“通知(informs)”功能的實現，這個功能包括交換只讀社區(qū)字符串來共享狀態(tài)信息。當一個有漏洞的設備處理一條定義接收SNMP "traps"(陷阱消息) 主機的命令時(常規(guī)snmp-server 配置) ，在trap 消息中指定的社團也還是配置成通用，如果它在保存配置中沒有定義。即使社區(qū)在前面被刪除并且配置在系統(tǒng)重載前保存到存儲器，也會發(fā)生這種情況。

當通過"snmpwalk"(一種檢測SNMP 配置正確性的工具) ，或者使用設備的只讀社團字符串遍歷基于視圖的訪問控制MIB 來檢查設備時，就會泄漏讀寫社團字符串。這意味著知道只讀社區(qū)字串允許讀訪問存儲在設備中的MIB ，導致信息泄露。而更為嚴重的是，如果知道讀寫社區(qū)字符串就可以允許遠程配置的路由，可以繞開授權認證機制，從而完全控制路由器的整體功能。

【另類攻擊】

前面的漏洞綜述，似乎我們都在圍繞著如何獲得路由配置信息而講述，因為得到一個完整Router-config ，那么我們便掌握了路由的世界。下面的入侵方法則另辟奚徑。

*TFTP的藝術

Cisco 的熟練管理員，一般習慣于Cisco 免費提供的TFTP 服務器

(http://www.cisco.com/pcgi-bin/tablebuild.pl/tftp)，而Cisco 培訓的書籍總會介紹使用copy running-config tftp的命令來保存路由配置文件。于是獲得TFTP 就有可能獲得路由配置文件。

幸運的是，TFTPD 守護程序存在目錄遍歷的漏洞，允許遠程用戶從目標系統(tǒng)中獲得任意文件。我們可以通過下面簡單方法獲取目標系統(tǒng)中的任何文件：

Exploit

tftp> connect target_machine

tftp> get cisco-conf.bin

Recieved 472 bytes in 0.4 seconds

tftpd> quit

而這個免費軟件還沒有任何修補措施，因此借助這種方式，可以不費吹灰之力就可能得到一份完整的路由配置存檔。

*SSH安全感

通過Telnet 管理方式，造就了一批密碼竊聽者。通過明文的ASCII 的網絡傳輸形式，竊聽者隨便放置嗅探裝置(sniffer)，就可安閑的等待著登錄用戶，密碼以及各類敏感信息自動送到面前。SSH 加密方式在路由器的應用，大大的消滅了這種囂張的氣焰。

但入侵與反入侵本來就是個古老的話題。于是，SSH 也開始有了危機感。Cisco SSH存在著三個精妙且復雜的漏洞，這種攻擊的手法所涉及的知識已經大大超出本文的范疇，所以以簡略的形式給予說明并指出應用漏洞的文章出處。(這些漏洞整理自中國網絡安全響應中心CNSAN ，http://www.cns911.com/holes/router/router01062902.php，在此對漏洞整理工作者的無私工作給予致敬。)

1.RC-32完整性檢查漏洞

參考：http://www.core-sdi.com/files/files/11/CRC32.pdf

作者運用及其復雜的數學方式來證明這種漏洞的存在性，看懂這片文章需要相當的數學功底，本人在看這篇文章的時候也是頭痛萬分。不過文章中的理論分析十分精彩，初學者可以省略此漏洞。

CNSAN 的文章則指出“要使這種攻擊成功，攻擊者要擁有一或者2個已知

chipertxt/plaintext串，這一般并不難，因為每個進程啟動時的問候屏幕是固定并可探測的，這樣可以通過SNIFF 進程來獲得相應的chipertext”。

2. 通信分析

參考：http://online.securityfocus.com/archive/1/169840

CNSAN 的文章論述：“要利用這個漏洞，攻擊者必須捕獲信息包，這樣可以分析使用的密碼長度并用暴力手段猜測密碼”。

在SSH 中封裝明文數據時，數據從8字節(jié)的邊界上開始封裝并對數據進行加密。這樣的包在明文數據長度之后進行某中數學封裝，SSH 在加密通道內以明文的方式傳輸，結果，能檢測SSH 傳輸的攻擊就能獲得SSH 內的內容。文章還友善的給出了Patch 程序來修正這個漏洞。

3. 在SSH 1.5協(xié)議中KEY 恢復

參考：http://www.securityfocus.com/archive/1/161150

CNSAN 的文章論述：要利用這個協(xié)議，攻擊者必須能嗅探SSH 進程并能對SSH 服務器建立連接，要恢復SERVER KEY，攻擊者必須執(zhí)行2^20 2^19=1572864 連接，由于KEY 是一小時的生存時間，所以攻擊者必須每秒執(zhí)行400此連接。

這種技巧的要求非常高，通常的遠程入侵中，使用KEY 來獲得SSH 會話過程的概率相當之低。

*本地密碼劫持

在所有入侵中，這種類型的入侵活動可謂是蓄謀以久的野蠻做法。方法本來的意圖是用于管理員忘記密碼后的恢復措施。而技術做為雙刃劍的一面，便在于我們如何使用它。

如果你有一臺筆記本電腦，你有一根與路由器相應類型的連接線，那么你配備了入侵路由的武器。剩下的時間，你將思考如何閉開網管的眼睛，把連接線與路由器連接。以后的動作，需要你行動迅速了。(以25xx 系列路由為例)

1. 切斷路由器的電源。

2. 連接計算機與路由器。

3. 打開超級終端(CTL-Break in Hyperterm)。

4. 在啟動路由器的30秒時間內，迅速按CTL-Break 組合鍵，使路由器進入rom monitor 狀態(tài)，出現提示符如下：

Followed by a '>' prompt...

5. 輸入 O/R 0x2142，修改配置注冊器(config register)路由器從Flash

memory 引導。

6. 輸入I ，路由器初始化設置后重新啟動。

7. 輸入系統(tǒng)配置 對話提示符敲no, 一直等提示信息顯示： Press RETURN to get started。

8. 輸入enable 命令，出現Router# 提示符。

這是，我們可以完全使用show 命令查看路由中的一切配置，并可轉儲到計算機上。如果使用了enable 的加密方式，雖然現在無法看，但可以使用工具進行破解。當然，粗魯的做法是直接修改：

Router#conf term

Router(conf)#enable password 7 123pwd

進行完以上操作，別忘了恢復路由的正常狀態(tài)，否則網管很快就能發(fā)現問題所在： Router(conf)#config-register 0x2102

Router(conf)#exit

至此，我們從幾個方面試圖獲得整個路由的配置，那么如何進一步擴大入侵的戰(zhàn)果，一些令人激動的工具給我們帶來的無比愉悅的方便。